CONTRALORA GENERAL DE LA REPBLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
DEPARTAMENTO DE AUDITORA
REF.N
DMSAI
A.T.
1.269/09
102/09
110/09
REMITE INFORME FINAL QUE INDICA
SANTIAGO, o 7. MflY O 9 '" O 2 3 7 O 3
Adjunto, srvase encontrar ejemplar del
Informe Final, debidamente aprobado, sobre Auditora de Sistemas Informticos
efectuada en esa Municipalidad.
AL SEOR
ALCALDE DE LA
MUNICIPALIDAD DE
LO ESPEJO
Saluda atent mente alUd.
/,/
Po(c,:fderid'l' Gol1fi'lillr. 08181
MIIRro Q'UltAOA rON ECA
Irljenlaro Civil
Subjefe O/v/iil!)M de Munl palidades
CONTRALORA GENERAL DE LA REPBLICA
REF N
DMSAI
A.T. N
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
DEPARTAMENTO DE AUDITORA
1.269/09
102/09
110/09
REMITE INFORME FINAL QUE INDICA.
SANTIAGO,
o 7. MIIY O 9 1< 0237 O
Adjunto, slrvase encontrar copia del Informe
Final DMSAI N 102 de 2009, de esta Contralora General, con el fin de que, en la
primera sesin que celebre el Concejo Municipal, desde la fecha de su recepcin,
se sirva ponerlo en conocimiento de ese rgano Colegiado entregndole copia del
mismo.
Al respecto, Ud. deber acreditar ante esta
Contralora General, en su calidad de Secretario del Concejo y ministro de fe, el
cumplimiento de este trmite dentro del
sesin.
de diez dlas de efectuada esa
AL SEOR
SECRETARIO MUNICIPAL DE
LO ESPEJO
Saluda
cMen dl' eneral
tvitRld aUEtA"A FO SECA
118iHiijfj Olvl
Subjefe Mu Ic/palidadel
CONTRALORA GENERAL DE LA REPBLICA
Divisin de Municipalidades
rea Auditora
Fecha: Abril de 2009
W Informe: 106/09
roro
... u
Q).-
e .-
a;
f'n a..
..... 1')
. ,
o
- \.
. .
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
DEPARTAMENTO DE AUDITORA
REF. N 1269/09
DMSAI N 102/09
A.T. N 110/09
INFORME FINAL SOBRE DE AUDITORA
DE SISTEMAS INFORMTICOS
EFECTUADA EN LA MUNICIPALIDAD
DE LO ESPEJO.
SANTIAGO, O ? Hf,YG 2009
En cumplimiento del Plan Anual de
Fiscalizacin de esta Contraloria General y de acuerdo con las facultades
establecidas en la Ley N 10.336, Orgnica de esta Institucin, se realiz una
auditora a los sistemas informticos en la Municipalidad de Lo Espejo.
OBJETIVO.
Verificar los controles en el procesamiento
de datos, en el mantenimiento de plataforma de software, hardware y servicios
automticos y; en el cumplimiento de los contratos de sistemas, arriendo y/o compra
de equipamiento.
METODOLOGA.
La revlslon fue practicada en conformidad
con normas y procedimientos aceptados por la Contra lo ra General, por lo tanto,
incluy las pruebas de validacin y otros medios tcnicos considerados necesarios
en las circunstancias.
La revisin, en trminos generales, consisti
en el anlisis de los contratos informticos, de las polticas informticas, de los
mtodos de integridad de datos, de los recursos informticos, de la validez de la
Informacin, de la salvaguarda de activos informticos y de la efectividad de
aplicacin de controles.
UNIVERSO FISCALIZADO.
La revisin abarc el perodo comprendido
entre enero de 2006 y junio de 2007, a cuyo respecto se analizaron los aspectos
relativos al uso de tecnologas de informacin del municipio .
MUESTRA EXAMINADA.
La revisin se efectu sobre el 100% de las
actividades del perodo sealado.
AL SEOR
SUBJEFE DE LA DIVISiN DE MUNICIPALIDADES
P R E S E N T E.
JPTV/LMGV
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
- 2 -
Cabe precisar que, con carcter de
confidencial, mediante oficio W 60638, de 22 de enero de 2008, fue puesto en
conocimiento del alcalde el Preinforme conteniendo las observaciones establecidas
al trmino de la visita, con la finalidad que formulara los alcances y precisiones que,
a su juicio, procedieran, lo que se concret mediante oficio ORD. W 400/03/08/2008,
de 7 de enero de 2009.
El anlisis de las observaciones formuladas
en el citado Preinforme, en conjunto con los antecedentes aportados por la autoridad
edilicia en su respuesta, determinaron lo siguiente:
1.- ORGANIZACiN.
1.1.- Dotacin de Personal de la Unidad Informtica.
Se advirti la ausencia de planes de
capacitacin peridica que permitan el desarrollo del personal informtico en nuevas
tecnologas y anlisis de soluciones que permitan mejorar la gestin municipal.
El municipio en su respuesta no aporta
mayores antecedentes, por lo que se mantiene la observacin.
1.2.- Recursos de plataforma Software y Hardware.
Debido a la poca especializacin del
personal, no es posible generar planes de contingencia y continuidad que garanticen
el buen funcionamiento de los sistemas y permitan identificar los riesgos asociados.
Asimismo, se determin la ausencia de
procedimientos formales de actualizacin de parches de sistema operativo y de
aplicaciones de oficina, as como la carencia de respaldos de perfiles de sistemas
operativos.
A nivel municipal no se cuenta con licencias
de software autorizadas para las estaciones de trabajo y servidores. Asimismo, el
software de administracin municipal no posee actualmente documentacin de
usuario y/o sistema.
La autoridad municipal indica que,
efectivamente, las estaciones de trabajo no poseen licencias, pero que actualmente
se encuentra en proceso un estudio para migrar la plataforma a sistema operativo
Linux y licenciar exclusivamente los equipos necesarios que deban trabajar en
plataforma Windows, por otra parte, se analiza cambiar en los equipos el software de
oficina Microsoft Office por Open Office.
Dentro de los antecedentes entregados por
el municipio no se contempla informacin respecto de planes de contingencia,
respaldo de perfiles y polticas de licenciamiento de sistemas mediante normativas
formales, por lo que se mantienen las observaciones anteriores, sin perjuicio de las
verificaciones que se efectuarn en futuras fiscalizaciones.
Se comprob que actualmente no se aplican
en las operaciones, medidas de mitigacin de riesgos de fallas en la plataforma de
software y hardware. Se advierte la ausencia de normativa formal de mantenimiento
() . preventivo y/o correctivo de los equipos servidores y plataforma municipal.
(
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
- 3 -
En la respuesta al Preinforme se indica que
las operaciones se realizan fuera de horario normal de trabajo, lo que no se
encuentra dentro de las normativas entregadas al momento de realizar la auditora.
Adems, dentro del funcionamiento del rea
no se observa la existencia de estudios sobre valoracin y criticidad de los elementos
del inventario, lo que imposibilita realizar un ranking de los ms crticos y su
respectiva rotacin, con la finalidad de nivelar la estructura de la plataforma de
hardware.
En la respuesta se amplan los antecedentes
respecto a que el ranking de existencia se encuentra realizado y que se han tomado
medidas para redisear el layout del equipamiento, adems de considerar la baja de
veinte equipos por capacidad.
Se comprob que no se ha instruido al
personal respecto de la seguridad de las instalaciones y del equipamiento.
Se inform que la Direccin de Operaciones
ser la encargada de llevar a cabo el rediseo de la seguridad del Departamento de
Computacin, proteccin de accesos, reparacin de techumbre, piso y sistemas de
aislacin para climatizacin.
Atendiendo a que la autoridad ha dispuesto
las medidas pertinentes, lo observado inicialmente se estima subsanado,
constatndose su cumplimiento en futuras fiscalizaciones.
1.3.- Aplicaciones.
Se realiz un anlisis mediante diagramas
de flujos de datos y diagramas de entidad-relacin de aquellos procesos cuyos
mdulos fueron evaluados como de mayor riesgo, entre los que se encuentran
contabilidad, licencias, permisos, cobranzas y activo fijo.
En su respuesta, la autoridad municipal
informa que se solicitar el diseo de los diagramas de flujos de datos de los
procesos, con la finalidad de analizar las reas de riesgo, lo cual ser analizado en
una futura fiscalizacin.
2.- SALA DE UNIDAD INFORMTICA
La sala de informtica cumple con las
mlnlmas condiciones para resguardar la informacin, no existiendo normas de
seguridad como sealtica, sensores de humo, extintores de incendios entre otros.
La entidad reconoce la falta de elementos de
seguridad; sin embargo, actualmente la sala cuenta con extintor aln de 8 kilos.
La configuracin de red elctrica existente y
de datos, no est certificada en su totalidad, lo que conlleva al aumento del riesgo
que puede afectar la integridad de la informacin. Se informa en la respuesta, que se
\ solicitar la instalacin de tablero de automticos diferencial y malla a tierra con las
\ exigencias de la SECo
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
-4-
Por otra parte, el sistema de control de
acceso a la sala no es automtico, lo que disminuye la seguridad puesto que permite
la entrada a personal no autorizado. Adems, la iluminacin de las instalaciones es
deficiente para los requerimientos y bienestar de los funcionarios.
En la Sala de la Unidad de Informtica no se
cuenta con alarmas especficas y sistemas de alerta en caso de un siniestro, como
ser una inundacin, un sismo, entre otros.
Dentro de los antecedentes entregados por
la autoridad municipal no se acompaa documentacin que permita subsanar lo
observado; sin embargo, las mejoras que puedan surgir del presente informe, sern
verificadas en futuras fiscalizaciones.
3.- SEGURIDAD DE LA INFORMACiN.
No existen normativas formales de
administracin y seguridad aplicadas por los usuarios finales de los sistemas en
relacin a realizar cambios de claves en forma peridica.
Se estableci que si bien se cuenta con
archivos de registros de transacciones, no se efecta una revisin de ellos para
asegurar la integridad ni se auditan los procesos para evaluar el rendimiento y la
criticidad de las operaciones ms recurrentes.
Asimismo, se comprob que no se efecta la
verificacin de integridad de los datos respaldados y los procedimientos para eliminar
informacin fisica de los medios de almacenamiento en perodos de tiempo
asignados.
Se estableci la ausencia de procesos de
verificacin de integridad de datos, archivos de transacciones histricos y
procedimientos para desechar la informacin fsica de los medios de almacenamiento
en forma regular. Adems, no se cuenta con ningn plan de contingencia, para los
casos de desastres naturales, hurtos, violaciones de seguridad, etc.
Los antecedentes aportados por el municipio
en su respuesta resultan insuficientes, por lo que corresponde mantener las
observaciones formuladas en el Preinforme al respecto.
Por otra parte, se verific que no existe
personal de seguridad o sistemas de vigilancia remota para el control de las
instalaciones de la Unidad de Informtica. Sobre ello, la autoridad municipal indica
que el Departamento cuenta con un sistema de alarma.
Los datos respaldados carecan de
encriptacin, lo que aumenta el riesgo en la seguridad al momento de acceder a los
datos que se encuentra dentro de los respaldos. Al respecto, la autoridad comunal
informa que actualmente los datos cuentan con encriptacin que se proporciona a
travs de CAS CHILE.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
- 5 -
No se advirti la existencia de medidas de
seguridad fsica de los datos, en cuanto al resguardo en una caja de seguridad con
acceso a travs de llave, tarjeta magntica o duplicacin de respaldos para
conservar la disponibilidad de servicios municipales. Sobre ello, se informa que la
informacin es enviada en formato OVO al Departamento de Tesorera para su
posterior respaldo.
De acuerdo con los antecedentes aportados
es posible levantar las observaciones formuladas; no obstante, su regularizacin
efectiva se verificar en una prxima fiscalizacin.
4.- BASE DE DATOS.
El operador municipal de las bases de datos
no utiliza herramientas externas para administrar y operar las mismas, reduciendo la
productividad de los servicios y minimizando funcionalmente la entrega de datos
mediante reportes y listados. Ello determina que la normativa existente sea
insuficiente en cuanto a procedimientos de administracin, respaldo y recuperacin
de datos.
No obstante lo anterior, segn la Unidad de
Computacin, no se requiere manipular las bases de datos externamente, dado que
slo se utilizan actualmente a travs de los sistemas municipales que poseen
reportes e informes.
Efectuado un nuevo anlisis y considerando
los antecedentes aportados, es posible levantar la observacin inicial.
5.- REDES.
A nivel de red municipal existe escasa
regulacin en la administracin de direcciones IP, no teniendo en cuenta por ejemplo,
aquellas ocupadas sin identificacin, asignadas sin identificacin y disponibles en
rangos intercalados. Adems, se advirti la inexistencia de normativa interna que
permita regular las extensiones de puntos de red, ampliacin de seal, layout de
racks y administracin de anchos de banda. Al respecto, se informa que se
encuentran en proceso de regulacin, an cuando permanentemente los usuarios se
cambian de estacin de trabajo sin autorizacin previa, segn lo informado por la
Unidad.
Los argumentos planteados resultan
atendibles, por lo que se levanta la observacin formulada, constatndose su
cumplimiento en futuras fiscalizaciones.
6.- POLTICAS Y REGLAS.
No hay en funcionamiento normativas de
procedimientos y operaciones para la plataforma de hardware y software, y tampoco
para la operacin de sistemas y bases de datos municipales. Las actividades se
realizan sin estndares ni procedimientos definidos con claridad; gran parte de los
procesos se realizan de manera reactiva o de manera informal, no teniendo acceso a
la documentacin de los sistemas informticos, puesto que no existe evidencia de
\ que hayan sido proporcionados por parte del proveedor.
\
(. I
'A
1)
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
- 6 -
No se han establecido polticas especficas
para: la adquisicin de licencias de software, la adopcin de medidas de seguridad
fsica para el uso de las instalaciones de la Unidad Informtica, la regulacin y la
actualizacin del Inventario de bienes informticos, la aplicacin de medidas de
seguridad lgica, el uso de los servicios de la red de datos institucional y de las
cuentas de usuarios, la conexin y las consultas a redes externas, la capacitacin de
personal informtico y la normas de uso del servicio de Internet y del correo
electrnico municipal.
En la respuesta se seala que se
encuentran trabajando en las mejoras del punto antes sealado.
Se advirti la inexistencia de polticas y
procedimientos de registro de personal en trnsito dentro de las instalaciones
informticas, tanto personal interno municipal como externo de empresas contratistas
o que prestan servicios regulados por contrato como la mantencin del enlace de
comunicaciones y equipos municipales. Sobre ello se informa que el personal a
cargo se esfuerza por controlar el ingreso de las personas ajenas a la Unidad, no
existiendo polticas especificas al respecto.
Los argumentos planteados no resultan
suficientes para salvar las observaciones formuladas, por lo que ellas se mantienen.
Su regularizacin se verificar en futuras fiscalizaciones.
Por otra parte, se comprob la falta de
registros de incidentes que indiquen prdidas de datos y/o alteraciones en el
funcionamiento de los sistemas, bases de datos o instalaciones. Se informa al
respecto que se implantar un libro de registro en el mes de enero del 2009, lo cual
se verificar en una futura fiscalizacin.
Se comprob que el procedimiento de
asignacin de perfiles, accesos y atributos se realiza en trminos informales; no
obstante, en su respuesta la autoridad indica que el requerimiento de perfiles y/o
atributos asignados se realiza a peticin exclusiva de la unidad que necesita del
acceso, lo que permite levantar lo observado.
7.- CONTRATOS INFORMTICOS.
Los contratos suscritos por la Municipalidad
de Lo Espejo se encuentran operados por las empresas CAS Chile S.A. e Insico
S.A., normados tcnicamente y en funcionamiento. El detalle es el siguiente:
Contrato con la empresa CAS Chile S.A. para el arriendo de software respecto
de remuneraciones y personal municipal; salud y educacin; ingresos varios;
tesorera y; patentes comerciales.
Contrato con la empresa Insico S.A. para el Sistema Licencias de Conducir y
Permisos de Circulacin.
Contrato con la empresa CAS Chile S.A. para Servicios de Mantencin de
Programas Computacionales, "Activo Fijo-Municipal, Bodega Municipal,
Conciliaciones Bancarias Municipal".
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
- 7 -
Servicio de hosting para efectos de mantencin del Sitio Web Online y se
factura va telefnica.
Respecto de dichos convenios, que estn
normados tcnicamente y en funcionamiento, se realizaron pruebas de validacin de
integridad de datos a registros de procesos crticos, evaluacin de disponibilidad,
tiempo de respuesta y reportes de salida, sin que de dichas comprobaciones
surgieran observaciones que formular.
Asimismo, se determin que existe el
resguardo pertinente mediante boletas de garanta, las que se encuentran al da
respecto de los contratos con vigencia en el perodo auditado. Adems, se verific
que el pago de los servicios se ha efectuado conforme a lo pactado.
CONCLUSIONES.
En mrito de lo expuesto, la autoridad
deber implementar las medidas enunciadas en los numerales 1.1; 1.2; 2; 3; y, 6 del
presente informe, tendientes a solucionar las observaciones planteadas, cuya
efectividad ser comprobada en las prximas visitas que se realicen a la Entidad,
conforme las polticas de este Organismo sobre seguimiento de los programas de
fiscalizacin.
~ Municipal de Lo Espejo.
") .
Transcrbase al Alcalde y al Concejo
d.,
Por orden del ntralor General
PRISCILA . RA FUENTES
Jefe. ~ u ~ i v i s i n Auditorla e Inspecci(;
Municipalidades
CONTRALORA GENERAL DE LA REPBLICA
Divisin de Municipalidades